反向代理和负载均衡器TRAEFIK出现漏洞会泄露TLS证书
由法国软件公司开发的TRAEFIK是个比较知名的负载均衡器,很多公司将其部署在服务器集群用来控制流量。
不过最近TRAEFIK被发现漏洞可能会泄露已部署的数字证书,攻击者可以利用漏洞直接拷贝证书私钥的副本。
私钥泄露意味着证书已经不再安全,因为攻击者可以直接通过私钥构建钓鱼网站甚至是劫持用户的访问等等。
好在发现该漏洞的是白帽子黑客因此及时将漏洞提交给开发商,目前TRAEFIK最新发布的版本已经修复漏洞。
漏洞位于TRAEFIK API接口中:
TRAEFIK有着控制面板可以帮助用户更轻松的进行配置,同时还有开放接口供用户自行调用和定制开发等等。
然而接口存在的某个漏洞允许攻击者直接查询有关数字证书的设置,进而拷贝证书副本完成数字证书的窃取。
当然前提是TRAEFIK面板已经暴露在互联网公网上,如果没有配置公网访问那么黑客也无法直接访问服务器。
拷贝证书后用户就非常多了,例如用来构建和官方网站相同的钓鱼网站来诱导用户输入账号密码进行窃取等。
也可以进行中间人攻击解密用户与服务器的通信内容,所以数字证书如果泄露私钥那么就没有安全性可言了。
TRAEFIK最新版已经及时进行修复:
目前软件开发商已经发布TRAEFIK新版对漏洞进行修复,因此使用该软件的公司只需要升级到最新版本即可。
同时在控制面板配置选项里开发商也加上更醒目的提示:启用API 将会公开所有配置信息包括数字证书等等。
开发者如果非得使用这个功能那么可以设置身份验证和授权保护,也就是禁止黑客或是其他人直接访问面板。
在此也建议使用TRAEFIK API 接口的公司尽快检查配置,在完成新版升级和身份验证前立即关闭API 的访问。